Como desinstalo un backdoor? (SOLUCIONADO)

[solnegro]

Hola, me dijeron que tenían acceso a mi computadora a través de un backdoor que creo que es un troyano. Una persona que tuvo siempre acceso a mi computadora tenía acceso a todo lo que tenía guardado en mi pc por acceso remoto- La cuestión que lo quiero eliminar y no se como. Mi pc es una notebook sony vaio con windows vista y como e snueva creo que se me evenció al antivirus.

También me aparece un cartelito muy frecuente y molesto que dice esto: [i]"NETWORK ERROR.. Another computer on this netwoork has the same IP address as this computer. Contact your netwoork administrator for help resolving this issue. More details are available in the windows system event log".[/i]

Tendra algo que ver??....



También el windows live OneCare me dice Status:"at risk"



Por favor, me pueden orientar sobre este tema??... me dijeron que tenía que formatear la compu e instalar todo de nuevo, pero la notebook me la regalaron y no vino con ningún cd de instalación (vino de USA) aunque está en garantía aca en argentina...



Please ayudenme a eliminar este backdoor y explicarme como es que pueden tener acceso? y si desconecto internet igualmente puede tener acceso??



Muchas gracias !! :wink:

[msc hotline sat]

Ante todo decirle que con un buen cortafuegos, preferiblemente por hardware, se le acabarían este tipo de problemas, pero veamos cual es el problema en su caso, si un backdoor, un keylooger, o simplemente un programa de acceso remoto instalado, de los que los hay legales como el de VMWARE...



Ante todo purde probar estas dos utilidades, ELISTARA y ELITRIIP por si fuera algo conocido y controlado, lo cual sería en tal caso eliminado:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



y si no detectara nada ni pidiera muestra de algun sospechoso, proceder con el SPROCES y postearnos el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 11-10-2009







NOTA: Al ser windows VISTA, debe probar las utilidades arrancando en MODO SEGURO y con privilegios de Administrador. Es que el VISTA es muy exigente ...! :) ms.



Y por cierto, no estará usando wireless... y si es así, ¿ es que vive cerca su "amigo" ??? En tal caso utilice conexion ethernet o proteja su conexion con Macdress, para evitar que esté en paralelo con Vd, ya que dice detectar un problema de alguien que está usando su misma IP...

[solnegro]

Hola ms! gracais por tu pronta respuesta..



Bueno... perdón mi ignorancia en el tema pero como hago eso que decis del cortafuegos en el hardware??



Por otro lado: baje las 2 utilidades que me aconsejaste y:



ELITRIIP me encontró un tryano y le puse eliminar... pero me aprecieron muchísimas veces el siguiente mensaje: "ACCESO DENEGADO A LA CARPETA.... y ahí aparecieron muchísimas carpetas con acceso denegado... es esto normal?

Luego, lo volví a pasar y ya no apareció ningún archivo infectado.



ELISTARA, le ejecuté.... comenzó ok y luego aparecía que el programa no respondia.... sin tener abierto ningun otro programa ni tocar nada...

Con SPROCES tampoco tuve suerte... se baja rapdisimo, se cierra la ventanita peor no aparece en el lugar donde lo guardé.... ni siquiera por el buscador aparece... puede que sea porque no es compatible con Windows vista el SPROCES?



Y por ´´ultimo... no utilizo wireless, sino cablemodem y mi "amigo" no vive cerca.... no se que es macdress?? como lo consigo??



Otra vez muchas gracias!

:wink:

[lucl]

Te fijaste si en C tenias un archivo llamado infosat.txt? y un sproclog.txt? Si no lo has comprobado hazlo por favor y nos pegas los resultados. Cortafuegos de hardware es un cortafuegos que tendras que comprar en una tienda, es mas seguro que el de software y ese seguro que no se lo podran saltar. En cuanto a lo del cd del vista mira si mientras puedes tratar de conseguir algo dirigiendote a donde lo compraste porque si tienes que arreglar cualquier cosa y no tienes cd como vas a hacerlo? No se si se hara por alli pero mira que te envien una copia si es posible, saludos.

[solnegro]

no tengo esos archivos... :? me fije en todos lados....

[msc hotline sat]

El VISTA es un incordio, por esto no lo queremos ver ni en pintura, pero si es lo que tienes ... :?



Todo es cuestion de privilegios, debes ejecutar dichas utilidades en MODO SEGURO y con privilegios de Administrador, esto último es imprescindible en el VISTA, o sea, pulsar el icono con el Boton derecho y escoger EJECUTAR COMO ADMINISTRADOR, sino le faltan privilegios para escribir los informes pedidos.



Cuando lo hayas hecho, posteanos dichos informes con un copiar y pegar de su contenido



saludos



ms, 12-10-2009

[solnegro]

Hola, reinicié en modo seguro y ejecute el elistrip y el elistar, pero en ambos me salía acceso denegado a varias carpetas, por ejemplo a C://windows/registration/CRMLog o /system32/com/dmp... esto por que es???



Se encontró un troyano y a continuación te pego el informe, pero me había dicho que instale el SProces que no pude porque tengo ws vista.... hay alguna manera de instalarlo o alguno similar que se pueda instalar en el vista??

Muchas gracais!

Saludos:





(12-10-2009 15:32:51 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES (X86)\SHARES\TBSHA0.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{9C905B42-976E-43C1-BC30-FC5937017909}" -> C:\Program Files (x86)\shARES\tbshA0.dll

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-10-2009 15:35:36 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files (x86)\shARES\TBSHAR.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 23057

Nº Total de Ficheros: 137537

Nº de Ficheros Analizados: 32551

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(12-10-2009 15:49:07) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "Monitor"

Eliminado Servicio, "SCardSvr"



(12-10-2009 15:49:21) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 23056

Nº Total de Ficheros: 137538

Nº de Ficheros Analizados: 28173

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Algo es algo, el ELISTARA ha hecho su faena, pero nos falta ver lo que genera el SPROCES, y para ello debes seguir las instrucciones que te dabamos:



[b][i]"Todo es cuestion de privilegios, debes ejecutar dichas utilidades en MODO SEGURO y con privilegios de Administrador, esto último es imprescindible en el VISTA, o sea, pulsar el icono con el Boton derecho y escoger EJECUTAR COMO ADMINISTRADOR, sino le faltan privilegios para escribir los informes pedidos."[/i][/b]



Venga, si lo ejecutas asi, podrá escribir el informe y nos lo podrás postear.



(Recuerda que tras ejecutar asi el SPROCES, debes escojer SALIR y luego ACEPTAR)



saludos



ms, 12-10-2009

[solnegro]

Pero me pasa que ya lo bajé.... pero no lo encuentro enla pc!! lo guardé en una carpeta y cuanod quiero ir a a verlo, resulta que la carpeta está vacía... voy a "buscar", pongo el nombre del programa y tampoco lo encuentra en la máquina. Pensé que era un problema del SProces pero intenté bajar otro programa y me pasa lo mismo.... Probé guardarlos en otro lugar y lo mismo... no aparecen! no se donde van a parar...

Aclaro que tengo activada la opción: ver carpeta y archivos ocultos!... nunca me pasó esto... es de hace unos días...

sabés que puede ser?? :x

[msc hotline sat]

Pues entre el VISTA y el malware, ... A CUAL PEOR ! :)



Arranca en modo seguro con funciones de red y descarga asi el SPROCES.EXE, lo guardas en una carpeta y, sin reiniciar, lo ejecutas segun hemos indicado, y nos comentas el resultado, aparte de postearnos el contenido de c:\sproclog.txt si te aparece



saludos



ms, 12-10-2009

[solnegro]

Bueno, hice una restauración del sistema y en modo seguro, volví a pasar el EliTriip , el Elistar y el SProcess. Ahi van los resultados y espero los pasos a seguir...

Saludos!



(12-10-2009 15:32:51 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES (X86)\SHARES\TBSHA0.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{9C905B42-976E-43C1-BC30-FC5937017909}" -> C:\Program Files (x86)\shARES\tbshA0.dll

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-10-2009 15:35:36 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files (x86)\shARES\TBSHAR.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 23057

Nº Total de Ficheros: 137537

Nº de Ficheros Analizados: 32551

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(12-10-2009 15:49:07) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "Monitor"

Eliminado Servicio, "SCardSvr"



(12-10-2009 15:49:21) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 23056

Nº Total de Ficheros: 137538

Nº de Ficheros Analizados: 28173

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(12-10-2009 17:51:11) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "Monitor"

Eliminado Servicio, "SCardSvr"



(12-10-2009 17:51:17) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\Vero\Documents\Juegos y Bromas\manuk.exe --> Eliminado, RemoteHack.15.c



Nº Total de Directorios: 23249

Nº Total de Ficheros: 137272

Nº de Ficheros Analizados: 28376

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(12-10-2009 18:00:33 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES (X86)\SHARES\TBSHA0.DLL --> Eliminado TBConduit(tb)

Eliminada Class, "{9C905B42-976E-43C1-BC30-FC5937017909}" -> C:\Program Files (x86)\shARES\tbshA0.dll

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-10-2009 18:01:29 (GMT))

EliStartPage v19.43 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(12-10-2009 18:14:01 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Windows (TM) Vista Home Premium (v6.0.6001)

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18813) 0



Procesos Activos:

C:\USERS\VERO\DESKTOP\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [Google Update] "C:\Users\Vero\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [SmartWiHelper] "C:\Program Files\Sony Corporation\SmartWi Connection Utility\SmartWiHelper.exe" /WindowsStartup

O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files (x86)\Microsoft Windows OneCare Live\winssnotify.exe"

O4 - HKLM\..\Run: [VAIOMyMemCenter] "C:\Program Files\Sony\VAIO My Memory Center\VAIO MyMemCenter.exe" 1

O4 - HKLM\..\Run: [VAIORegistration] "C:\Program Files\Sony\First Experience\WelcomeLauncher.exe"

O4 - HKLM\..\Run: [VAIOSurvey] "C:\Program Files (x86)\Sony\VAIO Survey\VAIO Sat Survey.exe"

O4 - HKLM\..\Run: [VWLASU] "C:\Program Files\Sony\VAIO Wireless Wizard\AutoLaunchWLASU.exe"

O4 - HKLM\..\Run: [AML] "C:\Program Files (x86)\Sony\VAIO Launcher\AML.exe" InitApp

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] "C:\Program Files (x86)\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe" /title="CorelDRAW Graphics Suite 12" /date=072309 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [NWEReboot]

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

O4 - Startup: desktop.ini

O4 - Global Startup: Adobe Gamma Loader.lnk

O4 - Global Startup: Bluetooth.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: QuickBooks Update Agent.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Send image to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Send page to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Send To Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol hijack: about - (no CLSID) - (no file)

O18 - Protocol hijack: dvd - (no CLSID) - (no file)

O18 - Protocol: intu-help-qb1 - {9B0F96C7-2E4B-433E-ABF3-043BA1B54AE3} - C:\Program Files (x86)\Intuit\QuickBooks 2008\HelpAsyncPluggableProtocol.dll

O18 - Protocol hijack: its - (no CLSID) - (no file)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol hijack: mhtml - (no CLSID) - (no file)

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol hijack: ms-its - (no CLSID) - (no file)

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files (x86)\Common Files\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: qbwc - {FC598A64-626C-4447-85B8-53150405FD57} - mscoree.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol hijack: tv - (no CLSID) - (no file)

O18 - Protocol hijack: vbscript - (no CLSID) - (no file)

O20 - Winlogon Notify: VESWINLOGON - VESWINLOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - (no file)

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Clave "HKLM\...\Image File Execution Options\IEInstal.exe"

"Debugger"="NULL1"



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files (x86)\Common Files\Motive\McciCMService.exe

O23 - Service: mdmxsdk - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys (file missing)

O23 - Service: QBCFMonitorService - Intuit - C:\Program Files (x86)\Common Files\Intuit\QuickBooks\QBCFMonitorService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: risdptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\risdsn64.sys (file missing)

O23 - Service: Realtek Audio Service (RtkAudioService) - Realtek Semiconductor - C:\Windows\RtkAudioService.exe

O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects\uCamMonitor.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe

O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: XAudio - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\xaudio64.sys (file missing)

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio64.exe (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Alps Pointing-device Filter Driver (ApfiltrService) - Alps Electric Co., Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\Apfiltr.sys (file missing)

O23 - Service: ArcSoft Magic-I Visual Effect (ArcSoftKsUFilter) - ArcSoft, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ArcSoftKsUFilter.sys (file missing)

O23 - Service: atikmdag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\atikmdag.sys (file missing)

O23 - Service: Brother USB Mass-Storage Lower Filter Driver (BrFiltLo) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltlo.sys (file missing)

O23 - Service: Brother USB Mass-Storage Upper Filter Driver (BrFiltUp) - Brother Industries, Ltd. - C:\WINDOWS\system32\drivers\brfiltup.sys (file missing)

O23 - Service: Brother MFC USB Serial WDM Driver (BrUsbSer) - Unknown owner - C:\WINDOWS\system32\drivers\brusbser.sys (file missing)

O23 - Service: Bluetooth Audio Device Service (btwaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwaudio.sys (file missing)

O23 - Service: Bluetooth AVDT (btwavdt) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btwavdt.sys (file missing)

O23 - Service: Bluetooth L2CAP Service (btwl2cap) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwl2cap.sys (file missing)

O23 - Service: btwrchid - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\btwrchid.sys (file missing)

O23 - Service: CAXHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CAXHWAZL.sys (file missing)

O23 - Service: Microsoft ACPI Control Method Battery Driver (CmBatt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\CmBatt.sys (file missing)

O23 - Service: Intel(R) PRO/1000 NDIS 6 Adapter Driver (E1G60) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\E1G6032E.sys (file missing)

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\VSTAZL6.SYS (file missing)

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CAX_DPV.sys (file missing)

O23 - Service: igfx - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\igdkmd64.sys (file missing)

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\RTKVHD64.sys (file missing)

O23 - Service: Intel(R) High Definition Audio HDMI (IntcHdmiAddService) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\drivers\IntcHdmi.sys (file missing)

O23 - Service: IP in IP Tunnel Driver (IpInIp) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ipinip.sys (file missing)

O23 - Service: Kernel Streaming Thunks (ksthunk) - Unknown owner - C:\WINDOWS\system32\drivers\ksthunk.sys (file missing)

O23 - Service: MREMP50 NDIS Protocol Driver (MREMP50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\PROGRA~2\COMMON~1\Motive\MREMP50.SYS

O23 - Service: MREMP50a64 NDIS Protocol Driver (MREMP50a64) - Unknown owner - C:\PROGRA~2\COMMON~1\Motive\MREMP50a64.SYS (file missing)

O23 - Service: MREMPR5 NDIS Protocol Driver (MREMPR5) - Unknown owner - C:\PROGRA~2\COMMON~1\Motive\MREMPR5.SYS (file missing)

O23 - Service: MRENDIS5 NDIS Protocol Driver (MRENDIS5) - Unknown owner - C:\PROGRA~2\COMMON~1\Motive\MRENDIS5.SYS (file missing)

O23 - Service: MRESP50 NDIS Protocol Driver (MRESP50) - Printing Communications Assoc., Inc. (PCAUSA) - C:\PROGRA~2\COMMON~1\Motive\MRESP50.SYS

O23 - Service: MRESP50a64 NDIS Protocol Driver (MRESP50a64) - Unknown owner - C:\PROGRA~2\COMMON~1\Motive\MRESP50a64.SYS (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\WINDOWS\system32\msiexec /V (file missing)

O23 - Service: Microsoft Streaming Service Proxy (MSKSSRV) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSKSSRV.sys (file missing)

O23 - Service: Microsoft Streaming Clock Proxy (MSPCLOCK) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSPCLOCK.sys (file missing)

O23 - Service: Microsoft Streaming Quality Manager Proxy (MSPQM) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSPQM.sys (file missing)

O23 - Service: Microsoft Streaming Tee/Sink-to-Sink Converter (MSTEE) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\MSTEE.sys (file missing)

O23 - Service: Intel(R) Wireless WiFi Link Adapter Driver for Windows Vista 64 Bit (NETw5v64) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NETw5v64.sys (file missing)

O23 - Service: IPX Traffic Filter Driver (NwlnkFlt) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkflt.sys (file missing)

O23 - Service: IPX Traffic Forwarder Driver (NwlnkFwd) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\nwlnkfwd.sys (file missing)

O23 - Service: RICOH OHCI Compliant IEEE 1394 Host Controller (ohci1394) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ohci1394.sys (file missing)

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Intuit QuickBooks FCS (QBFCService) - Intuit Inc. - C:\Program Files (x86)\Common Files\Intuit\QuickBooks\FCS\Intuit.QuickBooks.FCS.exe

O23 - Service: rimsptsk - REDC - C:\WINDOWS\SYSTEM32\DRIVERS\rimssn64.sys (file missing)

O23 - Service: Service for HDMI (RTHDMIAzAudService) - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\RtHDMIVX.sys (file missing)

O23 - Service: Sony Firmware Extension Parser (SFEP) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\SFEP.sys (file missing)

O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files (x86)\Sony\VAIO Media plus\SOHCImp.exe

O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files (x86)\Sony\VAIO Media plus\SOHDms.exe

O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files (x86)\Sony\VAIO Media plus\SOHDs.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Microsoft IPv6 Protocol Driver (Tcpip6) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\tcpip.sys (file missing)

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe

O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\CAX_CNXT.sys (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\%ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

O23 - Service: NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller (yukonx64) - Marvell - C:\WINDOWS\SYSTEM32\DRIVERS\yk60x64.sys (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

O23 - Service: adp94xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adp94xx.sys (file missing)

O23 - Service: adpahci - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpahci.sys (file missing)

O23 - Service: adpu160m - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu160m.sys (file missing)

O23 - Service: adpu320 - Adaptec, Inc. - C:\WINDOWS\system32\drivers\adpu320.sys (file missing)

O23 - Service: aic78xx - Adaptec, Inc. - C:\WINDOWS\system32\drivers\djsvs.sys (file missing)

O23 - Service: aliide - Acer Laboratories Inc. - C:\WINDOWS\system32\drivers\aliide.sys (file missing)

O23 - Service: arc - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arc.sys (file missing)

O23 - Service: arcsas - Adaptec, Inc. - C:\WINDOWS\system32\drivers\arcsas.sys (file missing)

O23 - Service: Brother MFC Serial Port Interface Driver (WDM) (Brserid) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserid.sys (file missing)

O23 - Service: Brother WDM Serial driver (BrSerWdm) - Brother Industries Ltd. - C:\WINDOWS\system32\drivers\brserwdm.sys (file missing)

O23 - Service: Brother MFC USB Fax Only Modem (BrUsbMdm) - Unknown owner - C:\WINDOWS\system32\drivers\brusbmdm.sys (file missing)

O23 - Service: cmdide - CMD Technology, Inc. - C:\WINDOWS\system32\drivers\cmdide.sys (file missing)

O23 - Service: elxstor - Emulex - C:\WINDOWS\system32\drivers\elxstor.sys (file missing)

O23 - Service: HpCISSs - Hewlett-Packard Company - C:\WINDOWS\system32\drivers\hpcisss.sys (file missing)

O23 - Service: Intel RAID Controller Vista (iaStorV) - Intel Corporation - C:\WINDOWS\system32\drivers\iastorv.sys (file missing)

O23 - Service: iirsp - Intel Corp./ICP vortex GmbH - C:\WINDOWS\system32\drivers\iirsp.sys (file missing)

O23 - Service: ITEATAPI_Service_Install (iteatapi) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteatapi.sys (file missing)

O23 - Service: ITERAID_Service_Install (iteraid) - Integrated Technology Express, Inc. - C:\WINDOWS\system32\drivers\iteraid.sys (file missing)

O23 - Service: LSI_FC - LSI Logic - C:\WINDOWS\system32\drivers\lsi_fc.sys (file missing)

O23 - Service: LSI_SAS - LSI Logic - C:\WINDOWS\system32\drivers\lsi_sas.sys (file missing)

O23 - Service: LSI_SCSI - LSI Logic - C:\WINDOWS\system32\drivers\lsi_scsi.sys (file missing)

O23 - Service: megasas - LSI Corporation - C:\WINDOWS\system32\drivers\megasas.sys (file missing)

O23 - Service: MegaSR - LSI Corporation, Inc. - C:\WINDOWS\system32\drivers\megasr.sys (file missing)

O23 - Service: Mraid35x - LSI Logic Corporation - C:\WINDOWS\system32\drivers\mraid35x.sys (file missing)

O23 - Service: nfrd960 - IBM Corporation - C:\WINDOWS\system32\drivers\nfrd960.sys (file missing)

O23 - Service: NVIDIA nForce RAID Driver (nvraid) - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvraid.sys (file missing)

O23 - Service: nvstor - NVIDIA Corporation - C:\WINDOWS\system32\drivers\nvstor.sys (file missing)

O23 - Service: QLogic Fibre Channel Miniport Driver (ql2300) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql2300.sys (file missing)

O23 - Service: QLogic iSCSI Miniport Driver (ql40xx) - QLogic Corporation - C:\WINDOWS\system32\drivers\ql40xx.sys (file missing)

O23 - Service: SiSRaid4 - Silicon Integrated Systems - C:\WINDOWS\system32\drivers\sisraid4.sys (file missing)

O23 - Service: Symc8xx - LSI Logic - C:\WINDOWS\system32\drivers\symc8xx.sys (file missing)

O23 - Service: Sym_hi - LSI Logic - C:\WINDOWS\system32\drivers\sym_hi.sys (file missing)

O23 - Service: Sym_u3 - LSI Logic - C:\WINDOWS\system32\drivers\sym_u3.sys (file missing)

O23 - Service: uliahci - ULi Electronics Inc. - C:\WINDOWS\system32\drivers\uliahci.sys (file missing)

O23 - Service: UlSata - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata.sys (file missing)

O23 - Service: ulsata2 - Promise Technology, Inc. - C:\WINDOWS\system32\drivers\ulsata2.sys (file missing)

O23 - Service: viaide - VIA Technologies, Inc. - C:\WINDOWS\system32\drivers\viaide.sys (file missing)

O23 - Service: vsmraid - VIA Technologies Inc.,Ltd - C:\WINDOWS\system32\drivers\vsmraid.sys (file missing)

O23 - Service: Wacom Serial Pen HID Driver (WacomPen) - Unknown owner - C:\WINDOWS\system32\drivers\wacompen.sys (file missing)



109 Servicios.

16 de Carga Automatica.

54 de Carga Manual.

39 Deshabilitados.

[msc hotline sat]

Pues ojo con esto :



Parche MS08-067 (Servicio Servidor) NO Instalado.





Asi puede entrarte el Conficker como Don Pedro por su casa, a pesar de los antivirus !!!



lanza un windowsupdate e instala los parches pendientes.



Y vemos que las utilidades han eliminado troyanos importantes, dinos si tras reiniciar, persisten las anomalias



saludos



ms, 12-10-2009

[msc hotline sat]

Y viendo que el problema era que le controlaban remotamente, parece que el ELITRIIP ha detectado y eliminado la causa:


[quote]
(12-10-2009 17:51:17) (GMT)

EliTriIP v6.17 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\Vero\Documents\Juegos y Bromas\manuk.exe --> Eliminado, RemoteHack.15.c
[/quote]

Esta era una herramienta de hackeo por control remoto !



Con ella podía hacer lo que quisiera en tu ordenador...



Una vez eliminada, procure que su "amigo" no vuelva a acercarse a su ordenador...



Y diganos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 12-10-2009

ref AR/BA-34.58-58.67

[solnegro]

Muchas gracais por la ayuda!! espero que se solucione y no espie mas mi computadora... ahora una duda: se puede saber si ese programa lo instaló hace mucho?? porque yo me acuerdo que tenía un archivo Manuk de un mentalista (era como un jueguito, o algo asi).... después cambié de compu e instalé todo de nuevo en esta nueva incluido ese "Manuk"... si es de hace mucho que lo tenía... no hace poco que me está vigilando...

De hecho, recuerdo que se puso "feliz" cuanod se enteró que en mi nueva casa ya tenía acceso a internet...

Lo pregunto simplemente para que no me vuelva a pasar...capaz al tener instalado ese troyano, con solo saber la IP o ruta de acceso a mi PC, entraba sencillamente...



Hay algún antivirus en español que sea bueno para instalar en ws vista??



Muchas gracias otra vez!!



Saludos! :D

[lucl]

No es posible tener tanto detalle sobre cuando empezo la intrusion por desgracia. Como ademas se ocultan en programas aparentemente normales pues vete tu a saber. Solo tienes que ser precavida , en cuanto a antivirus para el vista hay muchos que ya estan preparados para ello tan solo te debes fijar a la hora de ver a que sistemas operativos pone que vale para el vista. Dadas las circunstancias te aconsejo que en cuanto puedas pongas un firewall de hardware y asi no entrara ni aunque se sepa tu ip. Ya nos comentaras como va el pc, saludos.

[solnegro]

Muchas gracias por la ayuda!!



se puede descargar el firewall para hardware de algun lado??

:wink:

[msc hotline sat]

Logicamente el hardware no se puede "descargar", no es software ...



Para cerrar el Tema, indico link de características del producto:



http://www.satinfo.es/alphashield/welcome.html



y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 15-10-2009